【Microsoft】2022年12月のセキュリティ更新プログラム整理

Windows

2022年12月14日(※米国時間 12月13日) にセキュリティ更新プログラムがリリースされました。
サーバOS、クライアントOSのセキュリティ更新プログラム情報について調査した記録をまとめてみました。
今回、調査した対象製品は下記の通り。
・Windows Server 2022
・Windows Server 2019
・Windows 11
・Windows 10 v21H2
・Windows 10 v21H1
・Windows 10 v20H2

■セキュリティ概要情報
CVE-2022-44698 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性 は、既に脆弱性の悪用が行われていることを確認済。
なお、セキュリティ更新プログラムの公開時点では、この脆弱性の詳細の一般への公開は未確認。 →悪用実績あり、一般公開なし(ゼロデイ攻撃)

CVE-2022-44710 DirectX グラフィック カーネルの特権の昇格の脆弱性は、セキュリティ更新プログラムの公開よりも前に、脆弱性の情報が一般に公開されていたことを確認済。なお、セキュリティ更新プログラムの公開時点では、この脆弱性の悪用は未確認。
→悪用実績なし、一般公開あり(ゼロデイ脆弱性)

CVE-2022-37967 に対処するための Active Directory 環境のKerberos プロトコルにおける変更の第 2 フェーズが、予定通り実施されます。2022 年 12 月の月例更新プログラムを適用することで、すべての デバイスが既定で監査モードになります。
CVE-2022-37967 の脆弱性からシステムを完全に保護するためには、すべての Windows ドメイン コントローラーでできるだけ早く監査モードの後に強制モードに移行する必要があります。
Active Directory 環境の管理者は、できるだけ早期に、強制モードに移行してください。
参考情報:KB5020805: CVE-2022-37967 に関連する Kerberos プロトコルの変更を管理する方法

■脆弱性

CVE# タイトル 深刻度 一般公開 悪用実績 悪用可能性 指標 ベーススコア
CVE-2022-41076 PowerShell のリモートでコードが実行される脆弱性 緊急 なし なし 悪用される可能性が高い 8.5
CVE-2022-41121 Windows Graphics コンポーネントの特権の昇格の脆弱性 重要 なし なし 悪用される可能性が高い 7.8
CVE-2022-44671 Windows Graphics コンポーネントの特権の昇格の脆弱性 重要 なし なし 悪用される可能性が高い 7.8
CVE-2022-44675 Windows Bluetooth ドライバーの特権の昇格の脆弱性 重要 なし なし 悪用される可能性が高い 7.8
CVE-2022-44683 Windows カーネルの特権の昇格の脆弱性 重要 なし なし 悪用される可能性が高い 7.8
CVE-2022-44698 Windows SmartScreen のセキュリティ機能のバイパスの脆弱性   なし あり 悪用の事実を確認済み 5.4
CVE-2022-44710 DirectX グラフィック カーネルの特権の昇格の脆弱性 重要 あり なし 悪用される可能性は低い 7.8

■Windows11(22H2)、Windows11(21H2)
更新プログラム情報:KB5021255(22H2)、KB5021234(21H2)
(OS ビルド 22621.963、22000.1335)
・2022-12 x64 ベース システム用 Windows 11 Version 22H2 の累積更新プログラム (KB5021255)
・2022-12 x64 ベース システム用 Windows 11 の累積更新プログラム (KB5021234)

●概要 (Summary)
・Windows OSのセキュリティ問題を修正
・年末年始の為、2022年12月のプレビュリリース(Cリリース)予定はなし。
・タスクマネージャーの既知問題(ユーザー インターフェイス (UI) の特定の要素が予期しない色で表示され、UIの一部が読み取れない)に対処。
・データ保護アプリケーションプログラミングインターフェイス(DPAPI)復号化の問題に対処。

●既知の問題(Known issues)

事象 回避策
Windows 11 でプロビジョニング パッケージを使用すると、バージョン 22H2 (Windows 11 2022 Update とも呼ばれます) が期待どおりに機能しない。
Windows は部分的にしか構成されていない可能性があり、Out Of Box Experience が完了しないか、予期せず再起動する可能性がある。 プロビジョニング パッケージは .PPKG ファイルで、ビジネス ネットワークまたは学校ネットワークで使用する新しいデバイスの構成に役立ちます。
初期セットアップ 中に適用されるプロビジョニング パッケージは、この問題の影響を受ける可能性が最も高くなる。
Windows 11、バージョン 22H2 にアップグレードする前に Windows デバイスをプロビジョニングできる場合、この問題は回避されます。

現在調査中であり、今後のリリースで更新プログラムを提供する予定です。
Windows 11、バージョン 22H2 では、サイズの大きな複数ギガバイト (GB) ファイルのコピーが完了するまでに予想以上に時間がかかる場合がある。
この問題は、サーバー メッセージ ブロック (SMB) を介してネットワーク共有から Windows 11、バージョン 22H2 にファイルをコピーする場合に発生する可能性が高くなるが、ローカル ファイルのコピーも影響を受ける可能性があります。  
この問題を軽減するために、キャッシュマネージャー (バッファー処理された I/O) を使用しないファイル コピー ツールを実行する。
robocopy \\someserver\someshare c:\somefolder somefile.img /J
xcopy \\someserver\someshare c:\somefolder /J
現在、解決に向けて取り組んでおります。今後のリリースで更新プログラムを提供いたします。
ネットワーク接続が一時的に失われたり、Wi-Fi ネットワークまたはアクセス ポイント間で移行したりした後、Direct Access に再接続できなくなる場合があります。   以下の解決策を使用できない場合、Windows デバイスを再起動することで、この問題を軽減できます。
・Known Issue Rollback(KIR)を使用 (既知の問題のロールバック

■Windows10(Windows 10 v20H2、Windows 10 v21H1、Windows 10 v21H2)
更新プログラム情報:KB5021233
(OS ビルド 19042.2364、19043.2364、19044.2364、19045.2364)
・2022-12 x64 ベース システム用 Windows 10 Version 20H2 の累積更新プログラム (KB5021233)
・2022-12 x64 ベース システム用 Windows 10 Version 21H1 の累積更新プログラム (KB5021233)
・2022-12 x64 ベース システム用 Windows 10 Version 21H2 の累積更新プログラム (KB5021233)
・2022-12 x64 ベース システム用 Windows 10 Version 22H2 の累積更新プログラム (KB5021233)

●概要(Summary)
・Windows OSのセキュリティ問題を修正
・IE11は2023年2月14日に公開予定のセキュリティ更新プログラムで完全に機能を無効化する方針
・Windows 10 21H1のサービスが2022年12月13日に終了
・年末年始の為、2022年12月のプレビュリリース(Cリリース)予定はなし

●既知の問題(Known issues)

事象 回避策
カスタムされたオフラインメディアやWindows ISOイメージを用いてインストールしたWindowsデバイスは古いEdgeが削除されている可能性がある。 削除されたとしても新しいEdgeに自動的に置き換わらない。 本更新プログラムをインストールする前に2021 年 3 月 29 日以降にリリースされた SSU を使用してカスタム オフライン メディアまたは ISO イメージを作成する必要がある。

■Windows Server 2022
更新プログラム情報: KB5021249
(OS ビルド 20348.1366)
・2022-12 x64 ベース システム用 Microsoft server operating system, version 22H2 の累積更新プログラム (KB5021249)
・2022-12 Microsoft server operating system version 21H2 x64 ベース システム用の累積更新プログラム (KB5021249)

●概要(Summary)
・Windows OSのセキュリティ問題を修正
・リモート ネットワークに影響を与える問題に対処。 この問題により、DirectAccess を使用して再接続することがなくなります。

●既知の問題(Known issues)

事象 回避策
この更新プログラムを、SDN 構成System Center Virtual Machine Manager (VMM) によって管理されている Hyper-V ホストにインストールした後、VM ネットワークに参加している新しいネットワーク アダプター (ネットワーク インターフェイス カードまたは NIC とも呼ばれます) またはネットワーク アダプターが VM ネットワークに参加している新しい仮想マシン (VM) の作成に関するワークフローでエラーが発生する可能性があります。
既存のネットワーク アダプターを持つ既存の VM では、この更新プログラムをインストールした後の接続に問題はありません。この更新プログラムのインストール後に作成された新しいネットワーク アダプターのみが影響を受けます。  
この問題が発生すると、次のいずれかのエラーが発生する可能性があります。
既存の VM で新しい VM または新しいネットワーク アダプターを作成するときに、”<vmName>デバイス ‘イーサネット接続の変更に失敗しました” と表示される場合があります。 ソフトウェア定義ネットワーク (SDN) ソフトウェア ロード バランサー サービスが失敗する可能性があり、”<SLBVMName>デバイス ‘イーサネット接続’ エラーの変更に失敗しました” と表示される場合があります。
SDN RAS ゲートウェイ サービスが失敗し、”<GatewayVMName>デバイス ‘イーサネット接続’ エラーの変更に失敗しました” と表示される場合があります
この問題を軽減するには、すべての SCVMM マネージド Hyper-V ホストで管理者特権の PowerShell ウィンドウ ([スタート] ボタンを選択し、「powershell」と入力し、右クリックまたは長押しして [ 管理者として実行] を選択します) を開き、次のコマンドを実行します。   $lang = (Get-WinSystemLocale)。名前   C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\en-US\VfpExt.mfl   C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\VfpExt.mof  
大規模なデプロイに対するこの回避策を備えたスクリプトと、パッチ適用ツールと統合できるインストール後スクリプトは、System Center Virtual Machine Managerの Win12B の問題で入手できます。  
マイクロソフトは解決方法に取り組んでおり、今後のリリースで更新プログラムを提供します。  

■Windows Server 2019 
更新プログラム情報:KB5021237
(OS ビルド 17763.3770)
・2022-12 x64 ベース システム用 Windows Server 2019 の累積更新プログラム (KB5021237)

●概要(Summary)
・Windows OSのセキュリティ問題を修正
・年末年始の為、2022年12月のプレビュリリース(Cリリース)予定はなし 
・今年のフィジー共和国での夏時間 (DST) の中断に対処します。
・Windows オペレーティング システムのセキュリティの問題に対処します。
・Windows ロック ダウン ポリシー (WLDP) で実行されるアプリケーションに影響する可能性がある問題に対処。
・リモート ネットワークに影響を与える問題に対処。 この問題により、DirectAccess を使用して再接続することがなくなります。
・ローカル セキュリティ機関サブシステム サービス (LSASS.exe) に影響する可能性がある既知の問題に対処。
・Windows ドメイン コントローラーでメモリがリークする可能性があります。 この問題は、2022 年 11 月 8 日以降の Windows 更新プログラムをインストールするときに発生する可能性があります。

●既知の問題(Known issues)

事象 回避策
KB5001342以降をインストールした後、クラスター ネットワーク ドライバーが見つからないため、クラスター サービスの開始に失敗することがあります。 この問題は、このサービスで使用される PnP クラス ドライバーの更新が原因で発生します。  約 20 分後に、デバイスを再起動して、この問題が発生しないはずです。 この問題の特定のエラー、原因、回避策の詳細については 、KB5003571 を参照してください。
ネットワーク接続が一時的に失われたり、Wi-Fi ネットワークまたはアクセス ポイント間で移行したりした後、Direct Access に再接続できなくなる場合があります。   以下の解決策を使用できない場合、Windows デバイスを再起動することで、この問題を軽減できます。   ・Known Issue Rollback(KIR)を使用 (既知の問題のロールバック) 次のグループ ポリシー名を持つグループ ポリシーをダウンロードします。 └Windows 11、バージョン 22H2 用のダウンロード – KB5018427 221029_091533 既知の問題のロールバック └Windows 11、バージョン 21H2 用のダウンロード – KB5018483 220927_043051 既知の問題のロールバック └Windows Server 2022 用のダウンロード – KB5018485 220927_043049 既知の問題のロールバック └Windows 10、バージョン 22H2、Windows 10、バージョン 21H2、Windows 10、バージョン 21H1、Windows 10、バージョン 20H2 用のダウンロード – KB5018482 220927_043047 既知の問題のロールバック   重要 この問題を解決するには、Windows のご使用のバージョン用のグループ ポリシーをインストールして構成する必要があります。
この更新プログラムを、SDN 構成System Center Virtual Machine Manager (VMM) によって管理されている Hyper-V ホストにインストールした後、VM ネットワークに参加している新しいネットワーク アダプター (ネットワーク インターフェイス カードまたは NIC とも呼ばれます) またはネットワーク アダプターが VM ネットワークに参加している新しい仮想マシン (VM) の作成に関するワークフローでエラーが発生する可能性があります。 既存のネットワーク アダプターを持つ既存の VM では、この更新プログラムをインストールした後の接続に問題はありません。この更新プログラムのインストール後に作成された新しいネットワーク アダプターのみが影響を受けます。   この問題が発生すると、次のいずれかのエラーが発生する可能性があります。   既存の VM で新しい VM または新しいネットワーク アダプターを作成するときに、”<vmName>デバイス ‘イーサネット接続の変更に失敗しました” と表示される場合があります。   ソフトウェア定義ネットワーク (SDN) ソフトウェア ロード バランサー サービスが失敗する可能性があり、”<SLBVMName>デバイス ‘イーサネット接続’ エラーの変更に失敗しました” と表示される場合があります。   SDN RAS ゲートウェイ サービスが失敗し、”<GatewayVMName>デバイス ‘イーサネット接続’ エラーの変更に失敗しました” と表示される場合があります この問題を軽減するには、すべての SCVMM マネージド Hyper-V ホストで管理者特権の PowerShell ウィンドウ ([スタート] ボタンを選択し、「powershell」と入力し、右クリックまたは長押しして [ 管理者として実行] を選択します) を開き、次のコマンドを実行します。   $lang = (Get-WinSystemLocale)。名前   C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\en-US\VfpExt.mfl   C:\Windows\system32\wbem\mofcomp.exe C:\Windows\system32\wbem\VfpExt.mof   大規模なデプロイに対するこの回避策を備えたスクリプトと、パッチ適用ツールと統合できるインストール後スクリプトは、System Center Virtual Machine Managerの Win12B の問題で入手できます。   マイクロソフトは解決方法に取り組んでおり、今後のリリースで更新プログラムを提供します。  

■〆

タイトルとURLをコピーしました